安全人員發現印尼防疫管理網站未做好防護,讓印尼超過百萬人的COVID-19測試、醫療資料、個資等資訊全部曝露於網上,可能也包括總統佐科威(Joko Widodo)。
安全廠商vpnMentor研究人員Noam Rotem及Ran Locar在印尼官方的eHAC(eHealth Alert Card)防疫管理App及網站,發現這樁重大資料外洩。eHAC是印尼政府開發的COVID-19接觸追蹤App,今年才開發完成,要求所有入、出境的旅客,以及國內民眾安裝使用。
研究人員指出,他們利用很簡單的技巧,在網路上大規模搜尋未妥善防護的資料庫,很快找到了eHAC使用的Elasticsearch資料庫。他們透過瀏覽器存取,再於URL搜尋條件上下點工夫,即曝露出任何時間點的索引schemata。
經過分析,這個2GB的資料庫屬於印尼衛生部,內含140多萬筆資料,分別屬於近130萬人。曝光的資料包括個人可辨識身份資訊(PII)、旅行資訊、醫療紀錄、COVID-19檢測資訊。部份資訊還包含國籍。此外還有eHAC相關的226家醫院、醫師,以及使用該App的印尼官員資訊。
vpnMentor是在7月中發現曝光的資料庫,並於7月下旬分別通知印尼衛生部、當地CERT及代管資料庫的Google。一個月後他們才得到印尼政府回應,後者也終於為資料庫加上了防護。上周印尼政府表示將調查此事。
雖然研究人員沒有透露任何人員有外洩資訊,但路透社報導在130萬公民用戶資料外洩事件後,也傳出總統佐科威的疫苗注射護照資料曝光。
這是印尼衛生部第二度重大資料外洩。今年5月印尼超過100萬健保資料被人放到地下論壇上兜售,不過該國政府表示只有10萬筆資料。
熱門新聞
2024-12-03
2024-12-02
2024-11-29
2024-12-02
2024-11-30
2024-12-03